Query con parole chiave e condizioni di ricerca per eDiscovery

  • Articolo

Questo articolo descrive le proprietà disponibili per trovare contenuto in posta elettronica e chat in Exchange Online e documenti e file archiviati in SharePoint e OneDrive for Business usando gli strumenti di ricerca di eDiscovery nel Portale di conformità di Microsoft Purview.

Sono inclusi Ricerca contenuto, Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium) (le ricerche eDiscovery in eDiscovery (Premium) sono chiamate raccolte). È anche possibile usare i cmdlet *-ComplianceSearch in PowerShell Sicurezza & Conformità per cercare queste proprietà.

Questo articolo descrive anche:

  • Uso di operatori di ricerca booleani, condizioni di ricerca e altre tecniche di query di ricerca per perfezionare i risultati della ricerca.
  • Ricerca di comunicazioni di vari tipi correlati a specifici dipendenti e progetti in un intervallo di tempo specifico.
  • Ricerca di contenuto del sito correlato a un progetto specifico, dipendenti e/o soggetti durante un periodo di tempo specifico.

Per istruzioni dettagliate su come creare ricerche eDiscovery diverse, vedere:

Nota

Le ricerche di eDiscovery nel portale di conformità e i cmdlet *-ComplianceSearch corrispondenti in PowerShell Security & Compliance usano il linguaggio KQL (Keyword Query Language). Per informazioni più dettagliate, vedere Informazioni di riferimento sulla sintassi del linguaggio di query per parole chiave.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Suggerimenti pratici per la ricerca

  • Il fuso orario per tutte le ricerche è UTC (Coordinated Universal Time). La modifica dei fusi orari per l'organizzazione non è attualmente supportata. Le impostazioni di visualizzazione del fuso orario nella visualizzazione di ricerca sono applicabili solo ai valori nella colonna Dati e non influiscono sui timestamp sugli elementi raccolti.
  • Le ricerche con parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
  • Gli operatori booleani AND, OR, NOT e NEAR devono essere maiuscoli.
  • L'uso delle virgolette arresta i caratteri jolly e tutte le operazioni all'interno delle virgolette.
  • Uno spazio tra due parole chiave o due property:value espressioni è uguale all'uso di OR. Ad esempio, from:"Sara Davis" subject:reorganization restituisce tutti i messaggi inviati da Sara Davis o i messaggi che contengono la parola riorganizzazione nella riga dell'oggetto. Tuttavia, l'uso di una combinazione di spazi e condizionali OR in una singola query può causare risultati imprevisti. È consigliabile usare spazi o OR in una singola query.
  • Usare una sintassi corrispondente al property:value formato. I valori non fanno distinzione tra maiuscole e minuscole e non possono avere uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto è una ricerca full-text. Ad esempio to: pilarp , cerca "pilarp" come parola chiave, anziché per i messaggi inviati a pilarp.
  • Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile usare pilarp@contoso.com, pilarp o "Pilar Pinilla".
  • È possibile usare solo ricerche di prefisso; ad esempio cat* o set*. Le ricerche con suffisso (*cat), le ricerche infix (c*t) e le ricerche sottostringhe (*cat*) non sono supportate.
  • Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio, subject:budget Q1 restituisce messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi punto del messaggio o in una delle proprietà del messaggio. L'uso subject:"budget Q1" di restituisce tutti i messaggi che contengono il budget Q1 in qualsiasi punto della riga dell'oggetto.
  • Per escludere i contenuti contrassegnati con un determinato valore della proprietà dai risultati della ricerca, inserire un segno meno (-) prima del nome della proprietà. Ad esempio, -from:"Sara Davis" esclude tutti i messaggi inviati da Sara Davis.
  • È possibile esportare gli elementi in base al tipo di messaggio. Ad esempio, per esportare conversazioni e chat Skype in Microsoft Teams, usare la sintassi kind:im. Per restituire solo i messaggi di posta elettronica, usare kind:email. Per restituire chat, riunioni e chiamate in Microsoft Teams, usare kind:microsoftteams.
  • Durante la ricerca nei siti, è necessario aggiungere la fine / dell'URL quando si usa la path proprietà per restituire solo gli elementi in un sito specificato. Se non si include l'oggetto finale, vengono restituiti /anche gli elementi di un sito con un nome di percorso simile. Ad esempio, se si usano path:sites/HelloWorld , verranno restituiti anche gli elementi dei siti denominati sites/HelloWorld_East o sites/HelloWorld_West . Per restituire elementi solo dal sito HelloWorld, è necessario usare path:sites/HelloWorld/.
  • La lingua/area geografica della query deve essere definita nella query di ricerca prima di raccogliere il contenuto.
  • Durante la ricerca di messaggi di posta elettronica nelle cartelle inviate , l'uso dell'indirizzo SMTP per il mittente non è supportato. Gli elementi nella cartella Sent contengono solo nomi visualizzati.

Ricerca di contenuto in Exchange Online

Gli amministratori sono spesso incaricati di scoprire chi sapeva cosa quando nel modo più efficiente ed efficace possibile per rispondere alle richieste relative a controversie in corso o potenziali, indagini interne e altri scenari. Queste richieste sono spesso urgenti, coinvolgono più team stakeholder e hanno un impatto significativo se non vengono completate in modo tempestivo. Sapere come trovare le informazioni corrette è fondamentale per gli amministratori per completare correttamente le ricerche e aiutare le organizzazioni a gestire i rischi e i costi associati ai requisiti di eDiscovery.

Quando viene inviata una richiesta di eDiscovery, spesso sono disponibili solo informazioni parziali per consentire all'amministratore di iniziare a raccogliere contenuto che potrebbe essere correlato a una particolare indagine. La richiesta può includere nomi di dipendenti, titoli di progetto, intervalli di date approssimative quando il progetto era attivo e non molto altro. Da queste informazioni, l'amministratore deve creare query per trovare contenuto pertinente nei servizi di Microsoft 365 per determinare le informazioni necessarie per un determinato progetto o oggetto. La comprensione del modo in cui le informazioni vengono archiviate e gestite per questi servizi consente agli amministratori di trovare in modo più efficiente ciò di cui hanno bisogno in modo rapido ed efficace.

Email, chat, riunioni e Microsoft Copilot per Microsoft 365 dati delle attività (richieste utente e risposte copilot) vengono tutti archiviati in Exchange Online. Molte proprietà di comunicazione sono disponibili per la ricerca di elementi inclusi in Exchange Online. Alcune proprietà, ad esempio From, Sent, Subject e To, sono univoche per determinati elementi e non sono rilevanti per la ricerca di file o documenti in SharePoint e OneDrive for Business. L'inclusione di questi tipi di proprietà durante la ricerca tra carichi di lavoro può talvolta portare a risultati imprevisti.

Ad esempio, per trovare contenuto correlato a dipendenti specifici (Utente 1 e Utente 2), associato a un progetto denominato Tradewinds, e durante il periodo da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:

  • Aggiungere le posizioni di Exchange Online dell'utente 1 e dell'utente 2 come origini dati al caso
  • Selezionare le posizioni di Exchange Online dell'utente 1 e dell'utente 2 come percorsi di raccolta
  • Per parola chiave, usare Tradewinds
  • Per Intervallo di date usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022

Importante

Per i messaggi di posta elettronica, quando viene usata una parola chiave, vengono cercate l'oggetto, il corpo e molte proprietà correlate ai partecipanti. Tuttavia, a causa dell'espansione del destinatario, la ricerca potrebbe non restituire i risultati previsti quando si usa l'alias o parte dell'alias. È quindi consigliabile usare l'UPN completo.

Proprietà di posta elettronica disponibili per la ricerca

Nella tabella seguente sono elencate le proprietà dei messaggi di posta elettronica in cui è possibile eseguire ricerche tramite gli strumenti di ricerca di eDiscovery nel portale di conformità o tramite il cmdlet New-ComplianceSearch o Set-ComplianceSearch .

Importante

Anche se i messaggi di posta elettronica possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà di posta elettronica elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà dei messaggi di posta elettronica nelle ricerche non è supportato.

Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi. È possibile immettere queste property:value coppie nella casella delle parole chiave per una ricerca di eDiscovery.

Nota

Durante la ricerca delle proprietà del messaggio di posta elettronica, non è possibile cercare le intestazioni dei messaggi. Le informazioni sull'intestazione non sono indicizzate per le raccolte. Inoltre, gli elementi in cui la proprietà specificata è vuota o vuota non sono ricercabili. Ad esempio, l'uso della coppia property:value di subject:"" per cercare i messaggi di posta elettronica con una riga dell'oggetto vuota restituirà zero risultati. Questo vale anche per la ricerca delle proprietà del sito e del contatto.

Proprietà Descrizione proprietà Esempi Risultati di ricerca restituiti dagli esempi
AttachmentNames I nomi dei file allegati a un messaggio di posta elettronica. attachmentnames:annualreport.ppt

attachmentnames:annual*

 Messaggi con un file collegato denominato annualreport.ppt. Nel secondo esempio, usando il carattere jolly ( * ) vengono restituiti messaggi con la parola annual nel nome file di un allegato. 1
Ccn Campo Ccn di un messaggio di posta elettronica. 1 bcc:pilarp@contoso.com

bcc:pilarp

bcc:"Pilar Pinilla"

 Tutti gli esempi restituiscono messaggi con Pilar Pinilla incluso nel campo Ccn.
(Vedere Espansione del destinatario)
Categoria Le categorie da cercare. Le categorie possono essere definite dagli utenti usando Outlook o Outlook sul web (in precedenza noto come Outlook Web App). I valori possibili sono i seguenti:
  • Blu
  • Verde
  • arancione
  • Viola
  • Rosso
  • Giallo
 category:"Red Category" Messaggi a cui è stata assegnata la categoria rossa nelle cassette postali di origine.
Cc Campo Cc di un messaggio di posta elettronica. 1 cc:pilarp@contoso.com

cc:"Pilar Pinilla"

 In entrambi gli esempi, i messaggi con Pilar Pinilla specificati nel campo Cc.
(Vedere Espansione del destinatario)
Folderid ID cartella (GUID) di una cartella cassetta postale specifica in formato 48 caratteri. Se si utilizza questa proprietà, assicurarsi di cercare nella cassetta postale in cui si trova la cartella specificata. Viene eseguita la ricerca solo nella cartella specificata. Le sottocartelle nella cartella non verranno cercate. Per cercare le sottocartelle, è necessario utilizzare la proprietà Folderid per la sottocartella in cui si vuole eseguire la ricerca.

Per altre informazioni sulla ricerca della proprietà Folderid e sull'uso di uno script per ottenere gli ID cartella per una cassetta postale specifica, vedere Usare ricerca contenuto per le raccolte di destinazione.

 folderid:4D6DD7F943C29041A65787E30F02AD1F00000000013A0000

folderid:2370FB455F82FC44BE31397F47B632A70000000001160000 AND participants:garthf@contoso.com

 Il primo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata. Il secondo esempio restituisce tutti gli elementi nella cartella della cassetta postale specificata inviati o ricevuti da garthf@contoso.com.
Da Mittente di un messaggio di posta elettronica. 1 from:pilarp@contoso.com Messaggi inviati dall'utente specificato.
(Vedere Espansione del destinatario)
HasAttachment Indica se un messaggio contiene un allegato. Usare i valori true o false. from:pilar@contoso.com AND hasattachment:true Messaggi inviati dall'utente specificato con allegati.
Priorità La priorità di un messaggio di posta elettronica, che può essere specificata dall'utente al momento dell'invio di un messaggio. Per impostazione predefinita, i messaggi vengono inviati con una priorità normale, a meno che il mittente non imposti la priorità high (alta) o low (bassa). importance:high

importance:medium

importance:low

 I messaggi contrassegnati con priorità alta, media o bassa.
IsRead Indica se i messaggi sono stati letti. Usare i valori true o false. isread:true

isread:false

 Il primo esempio restituisce messaggi con la proprietà IsRead impostata su True. Nel secondo esempio vengono restituiti messaggi con la proprietà IsRead impostata su False.
Itemclass Utilizzare questa proprietà per cercare tipi di dati di terze parti specifici importati dall'organizzazione in Office 365. Utilizzare la sintassi seguente per questa proprietà: itemclass:ipm.externaldata.<third-party data type>* itemclass:ipm.externaldata.Facebook* AND subject:contoso

itemclass:ipm.externaldata.Twitter* AND from:"Ann Beebe" AND "Northwind Traders"

 Il primo esempio restituisce Facebook elementi che contengono la parola "contoso" nella proprietà Subject. Il secondo esempio restituisce gli elementi di Twitter pubblicati da Ann Beebe e contenenti la parola chiave "Northwind Traders".

Per un elenco completo dei valori da utilizzare per i tipi di dati di terze parti per la proprietà ItemClass, vedere Usare la ricerca contenuto per cercare i dati di terze parti importati in Office 365.
Gentile Tipo di messaggio di posta elettronica da cercare. Valori possibili:

contatti

Documenti

email

externaldata

Fax

Im

Riviste

Riunioni

microsoftteams (restituisce elementi da chat, riunioni e chiamate in Microsoft Teams)

Note

Messaggi

rssfeeds

attività

Segreteria telefonica

 kind:email

kind:email OR kind:im OR kind:voicemail

kind:externaldata

 Il primo esempio restituisce messaggi di posta elettronica che soddisfano i criteri di ricerca. Il secondo esempio restituisce messaggi di posta elettronica, conversazioni di messaggistica istantanea (incluse Skype for Business conversazioni e chat in Microsoft Teams) e messaggi vocali che soddisfano i criteri di ricerca. Il terzo esempio restituisce gli elementi importati nelle cassette postali di Microsoft 365 da origini dati di terze parti, ad esempio Twitter, Facebook e Cisco Jabber che soddisfano i criteri di ricerca. Per altre informazioni, vedere Archiviazione di dati di terze parti in Office 365.
Partecipanti Tutti i campi people in un messaggio di posta elettronica. Questi campi sono From, To, Cc e Bcc.1 participants:garthf@contoso.com

participants:contoso.com

 Messaggi inviati da o inviati a garthf@contoso.com. Il secondo esempio restituisce tutti i messaggi inviati da o a un utente nel dominio contoso.com.
(Vedere Espansione del destinatario)
Ricevuto La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. received:2021-04-15

received>=2021-01-01 AND received<=2021-03-31

 Messaggi ricevuti il 15 aprile 2021. Il secondo esempio restituisce tutti i messaggi ricevuti tra il 1° gennaio 2021 e il 31 marzo 2021.
Destinatari Tutti i campi del destinatario in un messaggio di posta elettronica. Questi campi sono To, Cc e Bcc.1 recipients:garthf@contoso.com

recipients:contoso.com

 Messaggi inviati a garthf@contoso.com. Il secondo esempio restituisce i messaggi inviati ai destinatari nel dominio contoso.com.
(Vedere Espansione del destinatario)
Inviato La data in cui un messaggio di posta elettronica viene inviato dal mittente. sent:2021-07-01

sent>=2021-06-01 AND sent<=2021-07-01

 I messaggi inviati in una data specifica o entro l'intervallo di date specificato.
Dimensioni Le dimensioni di un elemento, in byte. size>26214400

size:1..1048567

 I messaggi di dimensioni maggiori di 25 MB. Il secondo esempio restituisce i messaggi di dimensioni comprese tra 1 e 1.048.567 byte (1 MB).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.

Nota: Quando si usa la proprietà Subject in una query, la ricerca restituisce tutti i messaggi in cui la riga dell'oggetto contiene il testo che si sta cercando. In altre parole, la query non restituisce solo i messaggi che hanno una corrispondenza esatta. Ad esempio, se si cerca subject:"Quarterly Financials", i risultati includono messaggi con l'oggetto "Quarterly Financials 2018".

 subject:"Quarterly Financials"

subject:northwind

 Messaggi che contengono la frase "Quarterly Financials" in qualsiasi punto del testo della riga dell'oggetto. Il secondo esempio restituisce tutti i messaggi che contengono la parola northwind nella riga dell'oggetto.
A Campo A di un messaggio di posta elettronica. 1 to:annb@contoso.com

to:annb
to:"Ann Beebe"

 Tutti gli esempi restituiscono i messaggi in cui è specificato l'utente Ann Beebe nella riga To: (A:).

Nota

1 Per il valore di una proprietà del destinatario, è possibile usare l'indirizzo di posta elettronica (detto anche nome dell'entità utente o UPN), nome visualizzato o alias per specificare un utente. Ad esempio, è possibile usare annb@contoso.com, annb o "Ann Beebe" per specificare l'utente Ann Beebe.

Espansione del destinatario

Durante la ricerca in una delle proprietà del destinatario (Da, A, Cc, Ccn, Partecipanti e Destinatari), Microsoft 365 tenta di espandere l'identità di ogni utente cercandoli in Microsoft Entra ID. Se l'utente viene trovato in Microsoft Entra ID, la query viene espansa per includere l'indirizzo di posta elettronica (o UPN) dell'utente, l'alias, il nome visualizzato e LegacyExchangeDN. Ad esempio, una query, ad participants:ronnie@contoso.com esempio, si espande in participants:ronnie@contoso.com OR participants:ronnie OR participants:"Ronald Nelson" OR participants:"<LegacyExchangeDN>".

Per impedire l'espansione del destinatario, aggiungere un carattere jolly (asterisco) alla fine dell'indirizzo di posta elettronica e usare un nome di dominio ridotto; Ad esempio, participants:"ronnie@contoso*" assicurarsi di racchiudere l'indirizzo di posta elettronica tra virgolette doppie.

Tuttavia, tenere presente che impedire l'espansione del destinatario nella query di ricerca può comportare la mancata restituzione di elementi pertinenti nei risultati della ricerca. Email messaggi in Exchange possono essere salvati con formati di testo diversi nei campi del destinatario. L'espansione del destinatario ha lo scopo di mitigare questo fatto restituendo messaggi che possono contenere formati di testo diversi. Pertanto, impedire l'espansione del destinatario può comportare la mancata restituzione di tutti gli elementi rilevanti per l'indagine.

Nota

Se è necessario esaminare o ridurre gli elementi restituiti da una query di ricerca a causa dell'espansione del destinatario, provare a usare eDiscovery (Premium). È possibile cercare messaggi (sfruttando l'espansione del destinatario), aggiungerli a un set di revisione e quindi usare query o filtri del set di revisione per esaminare o limitare i risultati. Per altre informazioni, vedere Raccogliere dati per un caso ed eseguire query sui dati in un set di revisione.

Ricerca di contenuto in SharePoint e OneDrive

Quando si cercano documenti e file in SharePoint o OneDrive for Business, può essere opportuno modificare l'approccio alla query in base ai metadati per i documenti e i file di interesse. I file e i documenti hanno proprietà rilevanti, ad esempio Author, Created, CreatedBy, FileName, LastModifiedTime e Title. La maggior parte di queste proprietà non è rilevante quando si cerca il contenuto delle comunicazioni in Exchange Online e l'uso di queste proprietà può causare risultati imprevisti se usato sia nei documenti che nelle comunicazioni. Inoltre, FileName e Title di un documento potrebbero non essere uguali e l'uso di uno o dell'altro per cercare un file con contenuto specifico potrebbe portare a risultati diversi o imprecisi. Tenere presenti queste proprietà durante la ricerca di contenuto di documenti e file specifici in SharePoint e OneDrive for Business.

Ad esempio, per trovare contenuto correlato ai documenti creati dall'utente 1, per un progetto denominato Tradewinds, per file specifici denominati Financials e da gennaio 2020 a gennaio 2022, è possibile usare una query con le proprietà seguenti:

  • Aggiungere il sito OneDrive for Business dell'utente 1 come origini dati al caso
  • Selezionare il sito OneDrive for Business dell'utente 1 come percorso di raccolta
  • Aggiungere altri percorsi del sito di SharePoint correlati al progetto come percorsi di raccolta
  • Per FileName usare Financials
  • Per parola chiave, usare Tradewinds
  • Per Intervallo di date usare l'intervallo dal 1° gennaio 2020 al 31 gennaio 2022

Proprietà dei siti disponibili per la ricerca

Nella tabella seguente sono elencate le proprietà di SharePoint e OneDrive for Business che è possibile cercare usando gli strumenti di ricerca di eDiscovery nel Portale di conformità di Microsoft Purview o usando New-ComplianceSearch o il cmdlet Set-ComplianceSearch.

Importante

Anche se i documenti e i file archiviati in SharePoint e OneDrive for Business possono avere altre proprietà supportate in altri servizi di Microsoft 365, solo le proprietà dei documenti e dei file elencate in questa tabella sono supportate negli strumenti di ricerca di eDiscovery. Il tentativo di includere altre proprietà di documenti o file nelle ricerche non è supportato.

Nella tabella è presente un esempio della sintassi di property:value per ciascuna proprietà e una descrizione dei risultati di ricerca restituiti dagli esempi.

Proprietà Descrizione proprietà Esempio Risultati di ricerca restituiti dagli esempi
Author Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che lo carica in SharePoint, il documento manterrà comunque l'autore originale. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. author:"Garth Fort" Tutti i documenti creati da Garth Fort.
Contenttype Tipo di contenuto di SharePoint di un elemento, ad esempio Elemento, Documento o Video. contenttype:document Vengono restituiti tutti i documenti.
Creato La data di creazione di un elemento. created>=2021-06-01 Tutti gli elementi creati il 1° giugno 2021 o dopo tale data.
CreatedBy L'utente che ha creato o caricato un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. createdby:"Garth Fort" Tutti gli elementi creati o caricati da Garth Fort.
DetectedLanguage La lingua di un elemento. detectedlanguage:english Tutti gli elementi in lingua inglese.
DocumentLink Percorso (URL) di una cartella specifica in un sito di SharePoint o OneDrive for Business. Se si utilizza questa proprietà, assicurarsi di cercare nel sito in cui si trova la cartella specificata. È consigliabile usare questa proprietà anziché le proprietà Site e Path .

Per restituire gli elementi che si trovano nelle sottocartelle della cartella specificata per la proprietà documentlink, è necessario aggiungere /* all'URL della cartella specificata; Per esempio documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Per altre informazioni sulla ricerca della proprietà documentlink e sull'uso di uno script per ottenere gli URL di documentlink per le cartelle in un sito specifico, vedere Usare ricerca contenuto per le raccolte di destinazione.

 documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

 Il primo esempio restituisce tutti gli elementi nella cartella OneDrive for Business specificata. Il secondo esempio restituisce i documenti nella cartella del sito specificata (e tutte le sottocartelle) che contengono la parola "riservato" nel nome del file.
Fileextension Estensione di un file; ad esempio docx, one, pptx o xlsx. fileextension:xlsx Tutti i file di Excel (Excel 2007 e versioni successive)
Filename Il nome di un file. filename:"marketing plan"

filename:estimate

 Il primo esempio restituisce i file con la frase esatta "marketing plan" nel titolo. Il secondo esempio restituisce i file con la parola "estimate" nel nome file.
LastModifiedTime La data dell'ultima modifica di un elemento. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

 Il primo esempio restituisce gli elementi modificati il 1° maggio 2021 o dopo tale data. Il secondo esempio restituisce gli elementi modificati tra il 1° maggio 2021 e il 1° giugno 2021.
ModifiedBy L'autore dell'ultima modifica di un elemento. Assicurarsi di usare il nome visualizzato dell'utente per questa proprietà. modifiedby:"Garth Fort" Tutti gli elementi in cui l’ultima modifica è stata apportata da Garth Fort.
SharedWithUsersOWSUser Documenti condivisi con l'utente specificato e visualizzati nella pagina Condivisi con l'utente corrente nel sito OneDrive for Business dell'utente. Si tratta di documenti che sono stati condivisi in modo esplicito con l'utente specificato da altri utenti dell'organizzazione. Quando si esportano documenti che corrispondono a una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser, i documenti vengono esportati dal percorso del contenuto originale della persona che ha condiviso il documento con l'utente specificato. Per altre informazioni, vedere Ricerca di contenuto del sito condiviso all'interno dell'organizzazione. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

 Entrambi gli esempi restituiscono tutti i documenti interni che sono stati condivisi in modo esplicito con Garth Fort e che vengono visualizzati nella pagina Condivisi con me nell'account OneDrive for Business di Garth Fort.
Dimensioni Le dimensioni di un elemento, in byte. size>=1

size:1..10000

 Il primo esempio restituisce gli elementi di dimensioni maggiori di 1 byte. Il secondo esempio restituisce gli elementi di dimensioni comprese tra 1 e 10.000 byte.
Titolo Il titolo del documento. La proprietà Title è metadati specificati nei documenti di Microsoft Office. È diverso dal nome del file del documento. title:"communication plan" Qualsiasi documento contenente la frase "communication plan" nella proprietà di metadati Title di un documento di Office.

Proprietà dei contatti ricercabili

Nella tabella seguente sono elencate le proprietà dei contatti indicizzate e che è possibile cercare usando gli strumenti di ricerca di eDiscovery. Queste sono le proprietà disponibili per gli utenti da configurare per i contatti (detti anche contatti personali) che si trovano nella rubrica personale della cassetta postale di un utente. Per cercare i contatti, è possibile selezionare le cassette postali da cercare e quindi usare una o più proprietà dei contatti nella query delle parole chiave.

Consiglio

Per cercare valori che contengono spazi o caratteri speciali, usare virgolette doppie (" ") per contenere la frase; Ad esempio, businessaddress:"123 Main Street".

Proprietà Descrizione proprietà
BusinessAddress Indirizzo nella proprietà Indirizzo aziendale . La proprietà è anche denominata Indirizzo di lavoro nella pagina delle proprietà del contatto.
BusinessPhone Numero di telefono in una qualsiasi delle proprietà del numero di telefono aziendale .
Companyname Nome nella proprietà Company .
Reparto Nome nella proprietà Department .
DisplayName Nome visualizzato del contatto. Si tratta del nome nella proprietà Full Name del contatto.
EmailAddress Indirizzo per qualsiasi proprietà dell'indirizzo di posta elettronica per il contatto. Gli utenti possono aggiungere più indirizzi di posta elettronica per un contatto. L'utilizzo di questa proprietà restituirà i contatti che corrispondono a uno qualsiasi degli indirizzi di posta elettronica del contatto.
FileA Proprietà File as . Questa proprietà viene utilizzata per specificare il modo in cui il contatto è elencato nell'elenco contatti dell'utente. Ad esempio, un contatto può essere elencato come FirstName, LastName o LastName,FirstName.
Givenname Nome nella proprietà First Name .
HomeAddress Indirizzo in una qualsiasi delle proprietà indirizzo home .
HomePhone Numero di telefono in una delle proprietà numero di telefono home .
IMAddress Proprietà Indirizzo di messaggistica istantanea, che in genere è un indirizzo di posta elettronica usato per la messaggistica istantanea.
MiddleName Nome nella proprietà Middle name.
Mobilephone Numero di telefono nella proprietà Numero di telefono cellulare .
Nickname Nome nella proprietà Nickname .
OfficeLocation Valore nella proprietà della posizione di Office o Office.
OtherAddress Valore per la proprietà Other address.
Cognome Nome nella proprietà Cognome .
Titolo Titolo nella proprietà Titolo processo .

Operatori di ricerca

Gli operatori di ricerca booleani, ad esempio AND, OR e NOT, consentono di definire ricerche più precise includendo o escludendo parole specifiche nella query di ricerca. Altre tecniche, ad esempio l'uso di operatori di proprietà (ad >= esempio o ..), virgolette, parentesi e caratteri jolly, consentono di perfezionare una query di ricerca. Nella tabella seguente vengono elencati gli operatori che è possibile utilizzare per circoscrivere o ampliare i risultati della ricerca.

Operatore Utilizzo Descrizione
E keyword1 AND keyword2 Restituisce elementi che includono tutte le parole chiave o property:value le espressioni specificate. Ad esempio, from:"Ann Beebe" AND subject:northwind restituirebbe tutti i messaggi inviati da Ann Beebe che contenevano la parola northwind nella riga dell'oggetto. 2
+ keyword1 + keyword2 + keyword3 Restituisce elementi che contengonokeyword2 o keyword3e che contengono keyword1anche . Di conseguenza, questo esempio equivale alla query (keyword2 OR keyword3) AND keyword1.

La query keyword1 + keyword2 (con uno spazio dopo il + simbolo) non è uguale all'uso dell'operatore AND . Questa query equivale a "keyword1 + keyword2" e restituisce elementi con la fase "keyword1 + keyword2"esatta.
OPPURE keyword1 OR keyword2 Restituisce elementi che includono una o più parole chiave o property:value espressioni specificate. 2
NON keyword1 NOT keyword2

NOT from:"Ann Beebe"

NOT kind:im

 Esclude gli elementi specificati da una parola chiave o da un'espressione property:value . Nel secondo esempio vengono esclusi i messaggi inviati da Ann Beebe. Il terzo esempio esclude le conversazioni di messaggistica istantanea, ad esempio Skype for Business conversazioni salvate nella cartella della cassetta postale Cronologia conversazioni. 2
VICINO keyword1 NEAR(n) keyword2 Restituisce elementi con parole vicine tra loro. Nella sintassi keyword1 NEAR(n) keyword2n è uguale al numero di parole incluse in keyword1 e keyword2. Ad esempio, per identificare le istanze in cui il termine migliore si trova all'interno di 3 parole di peggiore (frase di esempio, 'Best is opposite of worst.'), si userebbe best NEAR(5) worst. In questo modo vengono restituiti tutti gli elementi in cui sono presenti almeno 3 parole tra best (keyword1) e worst (keyword2). Specificando 5 nell'esempio di sintassi sono incluse le 2 parole chiave e la differenza di 3 parole tra di esse è l'intervallo NEAR. Se non viene specificato alcun numero, il valore predefinito n è 8. 2
: property:value I due punti (:) nella property:value sintassi specificano che il valore della proprietà cercata contiene il valore specificato. Ad esempio, recipients:garthf@contoso.com restituisce qualsiasi messaggio inviato a garthf@contoso.com.
= property=value Uguale all'operatore : .
< valore della proprietà< Indica che la proprietà da cercare è inferiore al valore specificato. 1
> valore della proprietà> Indica che la proprietà in cui viene eseguita la ricerca è maggiore del valore specificato. 1
<= property<=value Indica che la proprietà in cui viene eseguita la ricerca è minore o uguale a un valore specifico. 1
>= property>=value Indica che la proprietà in cui viene eseguita la ricerca è maggiore o uguale a un valore specifico. 1
.. property:value1.. value2 Indica che la proprietà in cui viene eseguita la ricerca è maggiore o uguale a value1 e minore o uguale a value2. 1
" " "fair value"

subject:"Quarterly Financials"

 In una query con parole chiave (in cui si digita la property:value coppia nella casella Parola chiave ), usare virgolette doppie (" ") per cercare una frase o un termine esatto. Tuttavia, se si usa la condizione di ricercaOggetto o Oggetto/Titolo, non aggiungere virgolette doppie al valore perché le virgolette vengono aggiunte automaticamente quando si usano queste condizioni di ricerca. Se si aggiungono virgolette al valore, verranno aggiunte due coppie di virgolette doppie al valore della condizione e la query di ricerca restituirà un errore.
* Gatto*

subject:set*

 Il prefisso cerca (detto anche corrispondenza del prefisso) in cui un carattere jolly ( * ) viene inserito alla fine di una parola in parole chiave o property:value query. Nelle ricerche con prefisso, la ricerca restituisce risultati con termini che contengono la parola seguita da zero o più caratteri. Ad esempio, title:set* restituisce i documenti che contengono la parola "set", "setup" e "setting" (e altre parole che iniziano con "set") nel titolo del documento.

Nota: È possibile usare solo ricerche di prefisso; ad esempio cat* o set*. Le ricerche con suffisso (*cat), le ricerche infix (c*t) e le ricerche sottostringhe (*cat*) non sono supportate.

Inoltre, l'aggiunta di un punto ( . ) a una ricerca di prefisso modifica i risultati restituiti. Questo perché un punto viene considerato come una parola di arresto. Ad esempio, la ricerca di cat* e la ricerca di cat.* restituiscono risultati diversi. È consigliabile non usare un punto in una ricerca di prefisso.
( ) (fair OR free) AND (from:contoso.com)

(IPO OR initial) AND (stock OR shares)

(quarterly financials)

 Le parentesi raggruppano frasi, property:value elementi e parole chiave booleane. Ad esempio, (quarterly financials) restituisce elementi che contengono le parole trimestrali e finanziarie.

Nota

1 Usare questo operatore per le proprietà con valori numerici o di data.
2 Gli operatori di ricerca booleani devono essere maiuscoli; ad esempio AND. Se si usa un operatore minuscolo, ad esempio e, verrà considerato come una parola chiave nella query di ricerca.

Condizioni di ricerca

È possibile aggiungere condizioni a una query di ricerca per limitare una ricerca e restituire un set di risultati più perfezionato. Ogni condizione aggiunge una clausola alla query di ricerca KQL creata ed eseguita all'avvio della ricerca.

Condizioni per le proprietà comuni

Creare una condizione utilizzando le proprietà comuni quando si cercano cassette postali e siti nella stessa ricerca. Nella tabella seguente sono elencate le proprietà disponibili da utilizzare per l'aggiunta di una condizione.

Condizione Descrizione
Data Per il messaggio di posta elettronica, la data di creazione o importazione di un messaggio da un file PST. Per i documenti, la data dell'ultima modifica di un documento.

Se si cerca un messaggio di posta elettronica per un periodo di tempo specifico, è consigliabile usare il messaggio Received and Sent conditions se non si è certi che i messaggi di posta elettronica possano essere stati importati anziché creati in modo nativo in Exchange.
Mittente/Autore Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, l'utente menzionato nel campo dell'autore dei documenti di Office. È possibile digitare più nomi, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.
(Vedere Espansione del destinatario)
Dimensioni (in byte) Per la posta elettronica e i documenti, la dimensione dell'elemento (in byte).
Oggetto/Titolo Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. Come illustrato in precedenza, la proprietà Title è metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più valori di oggetto/titolo, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR.

Nota: non includere virgolette doppie ai valori di questa condizione perché vengono aggiunte automaticamente virgolette quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, al valore della condizione verranno aggiunte due coppie di virgolette doppie e la query di ricerca restituirà un errore.
Etichetta di conservazione Sia per la posta elettronica che per i documenti, le etichette di conservazione che possono essere applicate automaticamente o manualmente a messaggi e documenti. Le etichette di conservazione possono essere usate per dichiarare i record e semplificare la gestione del ciclo di vita dei dati del contenuto applicando le regole di conservazione ed eliminazione specificate dall'etichetta. È possibile digitare parte del nome dell'etichetta di conservazione e usare un carattere jolly o digitare il nome completo dell'etichetta. Per altre informazioni sulle etichette di conservazione, vedere Informazioni sui criteri di conservazione e sulle etichette di conservazione.

Condizioni per le proprietà della posta

Creare una condizione usando le proprietà di posta elettronica durante la ricerca di cassette postali o cartelle pubbliche in Exchange Online. Nella tabella seguente vengono elencate le proprietà della posta elettronica che è possibile utilizzare per una condizione. Queste proprietà sono un subset delle proprietà di posta elettronica descritte in precedenza. Queste descrizioni vengono ripetute per comodità.

Condizione Descrizione
Tipo di messaggio Il tipo di messaggio da cercare. Corrisponde alla proprietà della posta elettronica Kind (Tipo). Valori possibili:
  • contatti
  • Documenti
  • email
  • externaldata
  • Fax
  • Im
  • Riviste
  • Riunioni
  • microsoftteams
  • Note
  • Messaggi
  • rssfeeds
  • attività
  • Segreteria telefonica
Partecipanti Tutti i campi people in un messaggio di posta elettronica. Questi campi sono From, To, Cc e Bcc. (Vedere Espansione del destinatario)
Tipo Proprietà della classe messaggio per un elemento di posta elettronica. Si tratta della stessa proprietà della proprietà di posta elettronica ItemClass. È anche una condizione multivalore. Quindi, per selezionare più classi di messaggi, tenere premuto il tasto CTRL e quindi selezionare due o più classi di messaggi nell'elenco a discesa che si desidera aggiungere alla condizione. Ogni classe messaggio selezionata nell'elenco verrà connessa logicamente dall'operatore OR nella query di ricerca corrispondente.

Per un elenco delle classi di messaggi (e del relativo ID classe messaggio corrispondente) usate da Exchange e che è possibile selezionare nell'elenco Classe messaggio , vedere Tipi di elemento e classi messaggio.
Ricevuto La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. Corrisponde alla proprietà della posta elettronica Received (Ricevuto).
Destinatari Tutti i campi del destinatario in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn. (Vedere Espansione del destinatario)
Mittente Il mittente di un messaggio di posta elettronica.
Inviato La data in cui un messaggio di posta elettronica viene inviato dal mittente. Corrisponde alla proprietà della posta elettronica Sent (Inviato).
Oggetto Il testo nella riga dell'oggetto di un messaggio di posta elettronica.

Nota: non includere virgolette doppie ai valori di questa condizione perché vengono aggiunte automaticamente virgolette quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, al valore della condizione verranno aggiunte due coppie di virgolette doppie e la query di ricerca restituirà un errore.
A Destinatario di un messaggio di posta elettronica nel campo A.

Condizioni per le proprietà dei documenti

Creare una condizione usando le proprietà dei documenti durante la ricerca di documenti in SharePoint e OneDrive for Business siti. Nella tabella seguente vengono elencate le proprietà dei documenti che è possibile utilizzare per una condizione. Queste proprietà sono un subset delle proprietà del sito descritte in precedenza. Queste descrizioni vengono ripetute per comodità.

Condizione Descrizione
Author Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che lo carica in SharePoint, il documento manterrà comunque l'autore originale.
Titolo Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Office. È diverso dal nome del file del documento.
Creato La data di creazione di un documento.
Data ultima modifica La data dell'ultima modifica di un documento.
Tipo di file Estensione di un file; ad esempio docx, one, pptx o xlsx. Corrisponde alla proprietà dei siti FileExtension.

Nota: Se si include una condizione Tipo di file usando l'operatore Equals o Equals in una query di ricerca, non è possibile usare una ricerca di prefisso (includendo il carattere jolly ( * ) alla fine del tipo di file) per restituire tutte le versioni di un tipo di file. In caso contrario, il carattere jolly verrà ignorato. Se ad esempio si include la condizione Equals any of doc*, verranno restituiti solo i file con estensione di .doc . I file con estensione .docx di non verranno restituiti. Per restituire tutte le versioni di un tipo di file, utilizzare la coppia property:value in una query di parole chiave; Ad esempio, filetype:doc*.

Operatori utilizzati con condizioni

Quando si aggiunge una condizione, è possibile selezionare un operatore pertinente al tipo di proprietà per la condizione. Nella tabella seguente vengono descritti gli operatori utilizzati con condizioni e ne vengono elencati gli equivalenti utilizzati nella query di ricerca.

Operatore Equivalente nella query Descrizione
Dopo property>date Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati dopo la data specificata.
Prima property<date Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati prima della data specificata.
Tra date..date Utilizzato con condizioni relative alla data e alla dimensione. Se utilizzato con una condizione relativa alla data, restituisce gli elementi che sono stati inviati, ricevuti o modificati entro l'intervallo di date specificato. Se utilizzato con una condizione relativa alla dimensione, restituisce gli elementi di dimensioni comprese nell'intervallo specificato.
Contains any of (property:value) OR (property:value) Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che contengono una parte qualsiasi di uno o più valori di stringa specificati.
Doesn't contain any of -property:value

NOT property:value

 Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono parti del valore di stringa specificato.
Doesn't equal any of -property=value

NOT property=value

 Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono la stringa specificata.
Uguale size=value Restituisce elementi uguali alle dimensioni specificate. 1
Equals any of (property=value) OR (property=value) Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce elementi che corrispondono a uno o più valori stringa specificati.
Maggiore size>value Restituisce gli elementi in cui la proprietà specificata è maggiore del valore specificato. 1
Greater or equal size>=value Restituisce elementi in cui la proprietà specificata è maggiore o uguale al valore specificato. 1
Meno size<value Restituisce elementi maggiori o uguali al valore specifico. 1
Less or equal size<=value Restituisce elementi maggiori o uguali al valore specifico. 1
Not equal size<>value Restituisce elementi che non corrispondono alle dimensioni specificate. 1

Nota

1 Questo operatore è disponibile solo per le condizioni che utilizzano la proprietà Size.

Linee guida per l'uso di condizioni

Tenere presente quanto segue quando si utilizzano le condizioni di ricerca.

  • Una condizione è collegata logicamente alla query con parola chiave (specificata nella relativa casella) dall'operatore AND. Ciò significa che, per essere inclusi nei risultati, gli elementi devono soddisfare sia la query con parola chiave, sia la condizione. Ecco in che modo le condizioni aiutano a limitare i risultati.

  • Se si aggiungono due o più condizioni a una query di ricerca (condizioni che specificano proprietà diverse), queste sono collegate logicamente dall'operatore AND. Ciò significa che vengono restituiti solo gli elementi che soddisfano tutte le condizioni (oltre alle query con parole chiave).

  • Se si aggiunge più di una condizione per la stessa proprietà, tali condizioni vengono collegate logicamente dall'operatore OR. Ciò significa che vengono restituiti gli elementi che soddisfano la query con parola chiave e una delle condizioni. Pertanto, i gruppi con le stesse condizioni vengono collegati tra loro dall'operatore OR, quindi gli insiemi di condizioni univoche vengono collegati dall'operatore AND.

  • Se si aggiungono più valori (separati da virgole o due punti) a una singola condizione, tali valori vengono collegati dall'operatore OR. Di conseguenza, vengono restituiti elementi se contengono uno qualsiasi dei valori specificati per la proprietà nella condizione.

  • Qualsiasi condizione che usa un operatore con logica Contains e Equals restituirà risultati di ricerca simili per ricerche di stringhe semplici. Una semplice ricerca di stringhe è una stringa nella condizione che non include un carattere jolly. Ad esempio, una condizione che usa Uguale a qualsiasi di restituirà gli stessi elementi di una condizione che usa Contiene uno qualsiasi di.

  • La query di ricerca creata usando la casella delle parole chiave e le condizioni viene visualizzata nella pagina Cerca nel riquadro dei dettagli per la ricerca selezionata. In una query, tutti gli elementi a destra della notazione (c:c) indicano le condizioni aggiunte alla query. (c:c) non deve essere usato nelle query con enetering manuale e non è uguale a AND o OR.

  • Le condizioni aggiungono solo proprietà alla query di ricerca; non aggiungono operatori. Ecco perché la query visualizzata nel riquadro dei dettagli non mostra gli operatori a destra della (c:c) notazione. KQL aggiunge gli operatori logici (in base alle regole illustrate in precedenza) quando viene eseguita la query.

  • È possibile usare il controllo trascinamento della selezione per ricontrollarne l'ordine delle condizioni. Selezionare il controllo per una condizione e spostarlo verso l'alto o verso il basso.

  • Come spiegato in precedenza, alcune proprietà della condizione consentono di digitare più valori (separati da punti e virgola). Ogni valore è connesso logicamente dall'operatore OR e restituisce la query (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). La figura seguente mostra un esempio di una condizione con più valori.

    Una condizione con più valori.

    Nota

    Non è possibile aggiungere più condizioni selezionando Aggiungi condizione per la stessa proprietà. È invece necessario fornire più valori per la condizione ,separati da punti e virgola, come illustrato nell'esempio precedente.

Esempi

Gli esempi seguenti mostrano la versione basata su GUI di una query di ricerca con condizioni, la sintassi della query di ricerca visualizzata nel riquadro dei dettagli della ricerca selezionata (restituita anche dal cmdlet Get-ComplianceSearch ) e la logica della query KQL corrispondente.

Esempio 1

In questo esempio vengono restituiti elementi di posta elettronica o documenti contenenti la parola chiave "report", che sono stati inviati o creati prima del 1° aprile 2021 e che contengono la parola "northwind" nel campo oggetto dei messaggi di posta elettronica o nella proprietà title dei documenti. La query esclude le pagine Web che soddisfano gli altri criteri della ricerca.

GUI:

Secondo esempio di condizioni di ricerca.

Sintassi della query di ricerca:

report(c:c)(date<2021-04-01)(subjecttitle:"northwind")(-filetype:aspx)

Logica di query di ricerca:

report AND (date<2021-04-01) AND (subjecttitle:"northwind") NOT (filetype:aspx)

Esempio 2

In questo esempio vengono restituiti i messaggi di posta elettronica o le riunioni del calendario inviati tra il 1° dicembre 2019 e il 30 novembre 2020 e contenenti parole che iniziano con "telefono" o "smartphone".

GUI:

Terzo esempio di condizioni di ricerca.

Sintassi della query di ricerca:

phone* OR smartphone*(c:c)(sent=2019-12-01..2020-11-30)(kind="email")(kind="meetings")

Logica di query di ricerca:

phone* OR smartphone* AND (sent=2019-12-01..2020-11-30) AND ((kind="email") OR (kind="meetings"))

Caratteri speciali

Alcuni caratteri speciali non sono inclusi nell'indice di ricerca e pertanto non sono ricercabili. Sono inclusi anche i caratteri speciali che rappresentano gli operatori di ricerca nella query di ricerca. Di seguito è riportato un elenco di caratteri speciali sostituiti da uno spazio vuoto nella query di ricerca effettiva o che causano un errore di ricerca.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Tipi di dati sensibili disponibili per la ricerca

È possibile usare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare dati sensibili, ad esempio numeri di carta di credito o numeri di previdenza sociale, archiviati in documenti in SharePoint e OneDrive for Business siti. A tale scopo, è possibile utilizzare la SensitiveType proprietà e il nome (o l'ID) di un tipo di informazioni riservate in una query con parole chiave. Ad esempio, la query SensitiveType:"Credit Card Number" restituisce i documenti che contengono un numero di carta di credito. La query SensitiveType:"U.S. Social Security Number (SSN)" restituisce i documenti che contengono un numero di previdenza sociale statunitense.

Per visualizzare un elenco dei tipi di informazioni sensibili che è possibile cercare, passare a Classificazioni> dei datiTipi di informazioni sensibili nel portale di conformità. In alternativa, è possibile usare il cmdlet Get-DlpSensitiveInformationType in PowerShell Security & Compliance per visualizzare un elenco di tipi di informazioni riservate.

Limitazioni per la ricerca di tipi di dati sensibili

  • Per cercare tipi di informazioni sensibili personalizzati, è necessario specificare l'ID del tipo di informazioni riservate nella SensitiveType proprietà . L'uso del nome di un tipo di informazioni sensibili personalizzato (come illustrato nell'esempio per i tipi di informazioni sensibili predefiniti nella sezione precedente) non restituirà alcun risultato. Usare la colonna Server di pubblicazione nella pagina Tipi di informazioni sensibili nel portale di conformità (o nella proprietà Server di pubblicazione in PowerShell) per distinguere tra tipi di informazioni riservate predefiniti e tipi di informazioni sensibili personalizzati. I tipi di dati sensibili predefiniti hanno un valore per Microsoft Corporation la proprietà Publisher .

    Per visualizzare il nome e l'ID per i tipi di dati sensibili personalizzati nell'organizzazione, eseguire il comando seguente in PowerShell sicurezza & conformità:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id

    È quindi possibile utilizzare l'ID nella SensitiveType proprietà di ricerca per restituire i documenti che contengono il tipo di dati sensibili personalizzato, ad esempio SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Non è possibile usare i tipi di informazioni riservate e la SensitiveType proprietà di ricerca per cercare i dati sensibili inattivi nelle cassette postali Exchange Online. Sono inclusi 1:1 messaggi di chat, 1:N messaggi di chat di gruppo e conversazioni del canale del team in Microsoft Teams perché tutto questo contenuto è archiviato nelle cassette postali. Tuttavia, è possibile usare i criteri di prevenzione della perdita dei dati (DLP) per proteggere i dati di posta elettronica sensibili in transito. Per altre informazioni, vedere Informazioni sulla prevenzione della perdita dei dati e Cercare e trovare i dati personali.

Ricerca di contenuti dei siti condivisi con utenti esterni

È anche possibile usare gli strumenti di ricerca di eDiscovery nel portale di conformità per cercare i documenti archiviati in SharePoint e OneDrive for Business siti condivisi con persone esterne all'organizzazione. Ciò consente di identificare informazioni proprietarie o sensibili condivise all'esterno dell'organizzazione. A tale scopo, è possibile usare la ViewableByExternalUsers proprietà in una query con parole chiave. Questa proprietà restituisce documenti o siti condivisi con utenti esterni usando uno dei metodi di condivisione seguenti:

  • Invito alla condivisione che richiede agli utenti di accedere all'organizzazione come utente autenticato.
  • Collegamento guest anonimo, che consente a chiunque abbia questo collegamento di accedere alla risorsa senza dover essere autenticato.

Ecco alcuni esempi:

  • La query ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" restituisce tutti gli elementi che sono stati condivisi con persone esterne all'organizzazione e contengono un numero di carta di credito.
  • La query ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" restituisce un elenco di documenti in tutti i siti del team dell'organizzazione condivisi con utenti esterni.

Consiglio

Una query di ricerca, ad ViewableByExternalUsers:true AND ContentType:document esempio, potrebbe restituire molti file .aspx nei risultati della ricerca. Per eliminare questi (o altri tipi di file), è possibile utilizzare la FileExtension proprietà per escludere tipi di file specifici, ad esempio ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

Cosa viene considerato contenuto condiviso con persone esterne all'organizzazione? Documenti in SharePoint dell'organizzazione e OneDrive for Business siti condivisi inviando un invito alla condivisione o condivisi in posizioni pubbliche. Ad esempio, le attività utente seguenti generano contenuto visualizzabile da utenti esterni:

  • Un utente condivide un file o una cartella con una persona esterna all'organizzazione.
  • Un utente crea e invia un collegamento a un file condiviso a una persona esterna all'organizzazione. Questo collegamento consente all'utente esterno di visualizzare (o modificare) il file.
  • Un utente invia un invito alla condivisione o un collegamento guest a una persona esterna all'organizzazione per visualizzare (o modificare) un file condiviso.

Problemi relativi all'utilizzo della proprietà ViewableByExternalUsers

Anche se la ViewableByExternalUsers proprietà rappresenta lo stato della condivisione di un documento o di un sito con utenti esterni, esistono alcune avvertenze su ciò che questa proprietà fa e non riflette. Negli scenari seguenti il valore della ViewableByExternalUsers proprietà non verrà aggiornato e i risultati di una query di ricerca che usa questa proprietà potrebbero non essere accurati.

  • Modifiche ai criteri di condivisione, ad esempio la disattivazione della condivisione esterna per un sito o per l'organizzazione. La proprietà mostrerà comunque i documenti condivisi in precedenza come accessibili esternamente, anche se l'accesso esterno potrebbe essere stato revocato.
  • Modifiche all'appartenenza ai gruppi, ad esempio l'aggiunta o la rimozione di utenti esterni ai gruppi di sicurezza di Gruppi di Microsoft 365 o Microsoft 365. La proprietà non verrà aggiornata automaticamente per gli elementi a cui il gruppo ha accesso.
  • Invio di inviti di condivisione a utenti esterni in cui il destinatario non ha accettato l'invito e pertanto non ha ancora accesso al contenuto.

In questi scenari, la ViewableByExternalUsers proprietà non riflette lo stato di condivisione corrente fino a quando il sito o la raccolta documenti non viene rieseguire la ricerca per indicizzazione e la reindicizzazione.

Ricerca di contenuto del sito condiviso all'interno dell'organizzazione

Come spiegato in precedenza, è possibile usare la SharedWithUsersOWSUser proprietà in modo da cercare i documenti condivisi tra gli utenti dell'organizzazione. Quando una persona condivide un file (o una cartella) con un altro utente all'interno dell'organizzazione, un collegamento al file condiviso viene visualizzato nella pagina Condivisi con l'utente corrente nell'account OneDrive for Business della persona con cui è stato condiviso il file. Ad esempio, per cercare i documenti condivisi con Sara Davis, è possibile usare la query SharedWithUsersOWSUser:"sarad@contoso.com". Se si esportano i risultati di questa ricerca, verranno scaricati i documenti originali (che si trovano nella posizione del contenuto della persona che ha condiviso i documenti con Sara).

I documenti devono essere condivisi in modo esplicito con un utente specifico per essere restituiti nei risultati della ricerca quando si usa la SharedWithUsersOWSUser proprietà . Ad esempio, quando una persona condivide un documento nel proprio account OneDrive, ha la possibilità di condividerlo con chiunque (all'interno o all'esterno dell'organizzazione), condividerlo solo con persone all'interno dell'organizzazione o condividerlo con una persona specifica. Ecco uno screenshot della finestra Condividi in OneDrive che mostra le tre opzioni di condivisione.

Solo i file condivisi con persone specifiche verranno restituiti da una query di ricerca che utilizza la proprietà SharedWithUsersOWSUser.

Solo i documenti condivisi tramite la terza opzione (condivisa con utenti specifici) verranno restituiti da una query di ricerca che utilizza la SharedWithUsersOWSUser proprietà .

Ricerca di conversazioni Skype for Business

È possibile usare la query di parole chiave seguente per cercare in modo specifico il contenuto nelle conversazioni Skype for Business:

kind:im

La query di ricerca precedente restituisce anche chat da Microsoft Teams. Per evitare questo errore, è possibile limitare i risultati della ricerca in modo da includere solo Skype for Business conversazioni usando la query della parola chiave seguente:

kind:im AND subject:conversation

La query con parola chiave precedente esclude le chat in Microsoft Teams perché Skype for Business conversazioni vengono salvate come messaggi di posta elettronica con una riga oggetto che inizia con la parola "Conversazione".

Per cercare Skype for Business conversazioni che si sono verificate all'interno di un intervallo di date specifico, usare la query della parola chiave seguente:

kind:im AND subject:conversation AND (received=startdate..enddate)

Limiti dei caratteri per le ricerche

È previsto un limite di 4.000 caratteri per le query di ricerca durante la ricerca di contenuto nei siti di SharePoint e negli account di OneDrive. Ecco come viene calcolato il numero totale di caratteri nella query di ricerca:

  • I caratteri nella query di ricerca di parole chiave (inclusi i campi utente e filtro) vengono conteggiati in base a questo limite.
  • I caratteri in qualsiasi proprietà location(ad esempio gli URL per tutti i siti di SharePoint o i percorsi di OneDrive in cui viene eseguita la ricerca) vengono conteggiati rispetto a questo limite.
  • I caratteri in tutti i filtri delle autorizzazioni di ricerca applicati all'utente che esegue il conteggio della ricerca rispetto al limite.

Per altre informazioni sui limiti dei caratteri, vedere Limiti di ricerca di eDiscovery.

Nota

Il limite di 4.000 caratteri si applica a Ricerca contenuto, eDiscovery (Standard) ed eDiscovery (Premium).